规章制度

规章制度 您当前的位置:首页 > 规章制度

井冈山大学网络安全管理办法

时间:2020-11-23 09:11:00         

井冈山大学网络安全管理办法

第一章 总则

第一条 为保障学校的网络与信息安全,保障各应用系统稳定运行、规范日常维护管理,特制订本办法。

第二条 凡与学校网络与信息安全相关的事宜,都适合本办法。

第二章 网络安全管理

第三条 网络安全规划

在网络系统规划、升级、改造建设过程中,应组织相关人员对网络建设方案进行评审,使方案满足网络安全管理要求。

第四条 网络接入控制

1.非常规性网络访问(如外来人员临时性访问)或新进教职工需接入网络,需填写《井冈山大学网络接入申请单》,由网络信息中心审核开通,确保网络用户的访问权限符合网络访问控制策略。

2.无线网络由网络信息中心统一管理,其他人员不得擅自接入,特殊需要时,需向网络信息中心提出申请,经同意后由中心负责接入并及时回收。

3.网络信息中心负责网络的安全防护,在网络边界处采取防火墙等安全措施进行有效隔离防护,并对违规行为进行检查和阻断。

对可访问互联网的终端进行登记备案;在网络边界上,配置严格的访问策略,禁止违规互联网访问;开启终端接入认证,对于非法终端禁止接入并记录;对于移动存储,媒体设备入网要严格检查是否含有病毒、木马。

4.网络信息中心负责网络的 VLAN 和安全域划分,不同业务应用系统尽量安排在不同的安全域中,各 VLAN 和安全域间应采取有效的访问控制措施。

5.对网络设备、网络设备之间的连接线缆进行标识,重要网络端口也须进行详细标识。

6.应保证所有与外部系统的连接均得到授权和批准。

第五条 网络安全审计

1.开启网络设备日志,记录与网络安全相关的操作与活动,定期分析并记录分析结果。

2.日志保存时间保证在一个月以上。

3.在网络关键位置采取网络审计手段,对网络访问操作行为进行记录,定期分析并记录分析结果。

第六条 网络设备管理

1.制定网络备份策略。做好网络配置文件、网络设备日志及网络设备备件的保存与管理,保证备份的安全性。建立日志服务器,保存日志时间要求超过6个月。

2.根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份。

3.定期(每半年)对网络设备口令进行更新。

4.因业务需要临时开通的网络设备,到期后,须及时回收相关网络资源。

5.机房管理参照《井冈山大学网络信息中心机房管理制度》。

第七条 网络安全检查

1.定期对网络系统进行日常检查,并记录检查结果。

2.定期对网络设备配置进行检查和评估,确保网络配置与安全策略保持一致,并记录检查结果。

3.定期对网络系统进行漏洞扫描,并及时修补扫描出的安全漏洞。

第八条 网络访问控制

1.制定网络访问控制策略,并做好相应备案。访问控制策略应包括以下内容:根据业务、管理等情况,对不同部门的接入进行划分;明确各部门只能访问被允许访问的网络和网络服务;规定各部门访问网络和网络服务使用的手段(如 VPN等)。

2.基于专网访问控制策略进行网络路由控制。

第九条 网络内容管理

在校园网络上严禁查阅、复制、传播违反国家法律法规、学校相关规定或公共道德的任何内容(如暴力、色情、封建迷信、反动等)。对部门网站栏目中具有交互性的内容,本部门必须 24 小时实时检查。一旦发现问题,需保存相关记录、及时切断对外宣传。

第十条 防病毒安全管理

加强防病毒系统的日常管理和维护,保证防病毒系统高效防护功能。主要工作包括:防病毒系统的安装、调试、检测、监控、维护、版本升级和病毒代码库更新等。

1.制定防病毒系统的整体安全规划和安全策略,并有效实施网络与信息系统的监控和预警工作。

2.及时对有感染病毒的设备及系统进行有效的隔离,清除病毒后检查其最近使用过的软盘、光盘和移动存储设备,以免漏杀,未清除病毒的设备不得入网。

3.管理人员定期检查相关设备,禁止含有病毒的文件、软件、媒体在单位范围内流转。禁止装载无关的软件,特别是游戏软件、盗版软件等。

4.对购置、维修、借入的计算机及其他网络存储设备,应当及时进行病毒检测。

第三章 系统安全管理

第十一条 新建网络应用管理

新建网站,需到网络信息中心办理登记注册手续,并报学校宣传部批准备案。新建网络应用在入网前应进行适当的安全评估,确保其安全性。新建网络应用投产后,应对其安全状况进行安全测评,并根据测评结果完善和优化安全策略。

第十二条 系统维护管理

1.网络信息中心的维护人员上岗前必须经过岗前专业知识培训,包括专门的信息安全培训,能正确执行本岗位的工作。

2.重要信息系统的操作手册和系统运行维护保养手册应作为工作秘密由各部门加以保护,由网络信息中心存档。应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作。监控并记录用户的日常操作,设置系统日志的保存时间。

3.定期对运行日志和审计数据进行分析,以便及时发现异常行为。

4.定期对系统使用中的信息安全管理情况进行检查。

5.对系统中运行的软件版本进行严格控制,对系统软件版本升级、补丁更新、安全加固等活动组织评审和测试,防止因上述变更影响到应用系统的正常运行。

6.系统补丁的安装:应安装系统的最新补丁程序,在安装系统补丁前,应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。

7.系统安全策略中应明确系统的安全配置。

8.定期对系统进行漏洞扫描,及时修补扫描出的安全漏洞。

第十三条 系统访问控制

基于业务和访问的安全要求,建立各应用系统的访问控制策略。

1.访问控制策略应包括以下内容:各个业务应用的安全要求;业务应用中工作角色和用户访问需求;网络环境中访问权限的管理要求;访问控制角色的分离,例如访问请求、访问授权、访问管理;用户访问请求的正式授权管理要求;用户访问控制的定期检查与评审要求;用户访问权的取消。

2.基于访问控制策略,对操作系统的登录程序加以控制:不显示系统或应用标识符,直到登录过程已成功完成;显示只有已授权用户才能访问计算机的告警通知;在登录过程中,不提供对未授权用户的帮助消息;限制登录失败的次数,如果达到最大次数,向系统控制台发送警报消息。

3.系统管理员应限制用户对应用系统远程访问的范围和内容,在远程访问过程结束后应确保断开连接。

4.系统管理员负责记录用户远程访问操作过程,包括访问时间、连接方式、访问用户、操作内容等。

第十四条 系统管理员要求

系统管理员的授权经网络信息中心负责人批准后设置。人员变更后,必须及时更改帐户设置。

系统管理员需遵守下列要求:

1.恪守职业道德,严守学校秘密;熟悉国家安全生产法及信息安全管理的相关规程,熟悉应用系统涉及的业务流程。

2.遵守应用系统的相关管理规范,需进行保密的系统,管理员必须签订保密协议书。

3.服务器和系统进行安装时,需改变默认的操作系统管理员账号名称和数据库账号名称。在系统或软件安装后改变提供商的默认口令。定期更换管理员密码(至少每半年更改一次),每次更新的口令不得与旧的口令相同,系统管理员的帐号、口令、权限等禁止告知其他人员。

4.根据应用系统的安全策略,负责应用系统的用户权限设置及系统安全配置,及时注销无效用户。

用户初次使用应用系统时,系统管理员应提供一个安全的临时口令,并强制其立即修改;临时口令应以安全的方式给予用户,不得使用第三方或未保护的(明文)电子邮件消息。

5.特殊权限管理应遵守用户注册和注销管理程序的规定,特殊权限包括操作系统、数据库管理系统和每个应用程序,特殊权限应被分配一个不同于正常业务用途的用户ID。

6.密切注意应用系统运行中发生的系统故障、安全事件,关注系统存在的隐患,收集业务用户的问题反映,并及时报告网络信息中心和业务主管部门。

第十五条 普通用户管理

建立普通账户的授权、审批流程。用户账号注册和授权由业务主管部门向网络信息中心提交申请,网络信息中心管理员注册并设置角色权限。

有下列情形之一者,网站负责人将对其帐号进行停用或注销,情节严重者交由公安机关处理:教职工因调离等原因脱离学校管理;利用帐号进行违法活动;私自转借、转让用户帐号;本人要求注销帐号。

第十六条 系统备份

1.制定系统备份策略,包括系统配置备份和设备备份,做好相应备案,保证备份的安全性。

2.定期对配置备份进行恢复和测试,确保系统备份的可用性。

3.当配置发生变更时必须重新备份,以便系统故障时能尽快恢复系统配置。

第十七条数据库安全管理

保证信息系统业务数据的可用性、完整性、机密性。减少及避免数据信息遭受安全威胁及攻击,落实数据库容灾备份,从而确保业务平台的连续性。

1.根据系统业务重要等级实际情况,建立数据库备份和恢复机制,日常检查备份是否完备。

2.非本单位岗位专职人员进入数据库后台需经授权批准,并需岗位工作人员共同参与,记录操作过程及结果,填写《井冈山大学维护管理登记表》。除紧急或系统升级等重大问题外,不得使用数据库查询分析器,在处理完问题后要及时退出。

第十八条 变更管理办法

规范软件应用及硬件设备变更操作流程,保障系统及设备变更前后的安全可靠性。根据变更本身的风险程度以及对业务连续性的影响程度,变更可分为常规变更、一般变更、重要变更和重大变更。

1.常规变更是指不涉及业务数据和运行环境,或按照规定的操作指令、预先确定的脚本,对业务系统的数据和运行环境进行设置调整、纠错等日常性、事务性、维护性变更。

2.一般变更是指涉及业务系统非关键数据信息和运行环境,但没有业务运行连续性风险的非常规变更。通常对业务系统的改变是单点或者是局部的。

3.重要变更是指涉及业务系统非关键数据信息和运行环境,并且具有业务运行连续性风险的变更。如多个相关联的数据信息调整、全局性参数设置、数据库性能参数优化、运行操作规程调整、网络运行性能参数调整、应用程序缺陷修正后的系统投产、局部冷热备系统启用等。

4.重大变更是指涉及关键性数据改变的数据变更,以及新系统投产、网络拓扑环境改变等的变更。

变更流程如下:

1.业务系统变更由使用方发起变更申请的,应根据变更需求事项填写《井冈山大学信息系统变更方案及计划》,并经部门负责人进行审批。

2.由系统技术原因引起的变更和因运行检查维护等需要变更,由网络信息中心发起,但涉及业务数据或对系统运行连续性有影响的,必须经相关业务管理部门确认验证。

3.由外包服务运维人员承担变更实施工作的,需严格按经审批的变更方案和内容实施变更操作,并对操作过程进行记录,变更完成后需开展安全评估。

4.对软件的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先备份原有软件系统和落实好应急措施。

5.对重大软件配置的更改,应先形成方案文件,经过讨论确认可行后,由具备资格的技术人员进行更改,并应做好详细的更改和操作记录。

第四章 应急处置

第十九条 信息安全事件的预防

必须积极贯彻预防为主、严格管理的原则,评价事件发生的潜在因素和可能程度;组织制定和监督实施预防措施、操作规程或工作标准;配置必要资源;开展教育培训、检查、考核和整改活动,控制或消除可能导致事件发生的各种因素。预防措施应下达至直接相关的层次和岗位。

第二十条 信息安全事件分类

网络与信息安全事件可能造成的后果是业务中断、系统宕机、网络瘫痪、信息破坏等。根据网络与信息安全事件的发生原因、性质和机理,主要分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障和灾害性事件五类:

1.有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

2.网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

3.信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

4.设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

5、灾害性事件是指自然灾害等其他突发事件导致的网络和信息系统故障。具体应急处置流程,详见《井冈山大学信息安全事件应急预案》。

第五章 信息安全责任追究

第二十一条 网络信息中心负责校园网络的规划、建设、应用开发、运行维护、用户管理与校园网站的建立;各部门为校园网站信息的日常管理机构,对信息发布具有管理权。

学校成立网络安全与信息化工作领导小组,领导小组下设信息化工作办公室,具体负责校信息化建设和信息安全工作的监督、实施等。学校党政主要负责人为学校的信息安全责任人。

第二十二条 各部门设立网站信息管理员,负责相应的网络安全和信息安全工作。各部门应结合保密要求,坚持“谁主管、谁主办、谁负责”的原则,在内容发布前必须由本部门负责人审核,签署同意意见并存档备案,然后由信息管理员在校园网上发布,相应部门应对信息的合法性和相关问题负责。

各部门负责人和网站信息管理员需确保所报送和发布的一切不得违反国家法律法规和学校相关规定,不得违反道德风范。如发布内容违反规定或造成不良影响,一切后果均由报送者和发布者承担。

第二十三条 对于违反本条例的部门和个人用户,由网络信息中心给予警告、停止相关单机入网、注销帐号、停止子网入网等处理。情节严重的,一经发现,证件确凿,由相关部门依据法律法规追究使用者法律责任。

第六章 附则

第二十四条 本办法自发文之日起实行,由网络信息中心负责解释。

 

  井冈山大学网络信息中心

    2020年11月20日